Refactor: отключена авторизация для отладки (REQUIRE_LOGIN=false), вернуть через REQUIRE_LOGIN=true

Made-with: Cursor
2026-02-26 12:10:42 +00:00
parent 4bfb61d71e
commit 646b3ea3fc
9 changed files with 77 additions and 4 deletions
--- a/.env.example
+++ b/.env.example
@@ -17,3 +17,6 @@ DB_PASSWORD=CHANGE_ME_POSTGRES_PASSWORD
 # Опционально: дополнительные доверенные источники для CSRF (через запятую)
 # CSRF_TRUSTED_ORIGINS=https://erp.gen7x.ru,https://other.example.com
 # Опционально: требовать вход (по умолчанию false — доступ без авторизации для отладки)
 # REQUIRE_LOGIN=true
--- a/HISTORY.md
+++ b/HISTORY.md
@@ -1,5 +1,17 @@
 # История изменений ERP WaterSurf
 # История изменений ERP WaterSurf
 ## 2025-02-25 22:25 UTC – Временное отключение авторизации для отладки
 **Проблема**: Для быстрой разработки и отладки нужно работать без входа.
 **Решение**: Добавлена настройка `REQUIRE_LOGIN` (по умолчанию `false`). При `REQUIRE_LOGIN=false` представления не требуют входа; мидлварь `OptionalAuthMiddleware` подставляет первого активного суперпользователя для анонимных запросов, чтобы меню и поле «Автор» работали. Миксин `config.mixins.LoginRequiredMixin` проверяет `REQUIRE_LOGIN` и при `false` не перенаправляет на логин. Чтобы вернуть авторизацию: в `.env` задать `REQUIRE_LOGIN=true` и перезапустить приложение.
 **Изменения**: config/settings.py (REQUIRE_LOGIN, OptionalAuthMiddleware), config/mixins.py, config/middleware.py, documents/views.py, references/views.py, users/views.py (импорт LoginRequiredMixin из config.mixins), .env.example (комментарий про REQUIRE_LOGIN).
 ---
 ## 2025-02-25 22:15 UTC – Поле «Дата»: размер и кнопка календаря
 **Проблема**: Дата не помещалась в поле (обрезка по ширине), кнопка выбора календаря сливалась с тёмным фоном.
--- a/README.md
+++ b/README.md
@@ -28,11 +28,12 @@ docker compose up -d app
 - `SECRET_KEY` — секрет Django (не менее 50 символов)
 - `ALLOWED_HOSTS` — через запятую (например `erp.gen7x.ru,localhost`)
 - `DEBUG` — true/false
 - `REQUIRE_LOGIN` — по умолчанию `false`: доступ без входа (для отладки); `true` — включить авторизацию
 ## Использование
 - Веб-интерфейс: после настройки Nginx — https://erp.gen7x.ru/
- Вход по логину/паролю (пользователи Django).
+- Вход по логину/паролю (пользователи Django). При `REQUIRE_LOGIN=false` доступ без входа (для отладки).
 - Меню: Справочники (валюты, виды заказов, клиенты, организации, поставщики, сотрудники, счета, товары), Документы (заказы клиентов, заказы поставщику, поступления, перемещения, расходы).
 - Поле «Автор» в документах подставляется из профиля пользователя (связь User → Сотрудник в разделе «Пользователи» / админка).
--- a/app/config/middleware.py
+++ b/app/config/middleware.py
@@ -0,0 +1,33 @@
 """
 Мидлварь: при отключённой авторизации (REQUIRE_LOGIN=False) подставляет
 суперпользователя для анонимных запросов, чтобы меню и поле «Автор» работали.
 """
 from django.conf import settings
 from django.contrib.auth import get_user_model
 _user_model = get_user_model()
 _cached_dev_user = None
 def get_dev_user():
    global _cached_dev_user
    if _cached_dev_user is None:
        _cached_dev_user = _user_model.objects.filter(is_superuser=True, is_active=True).first()
    return _cached_dev_user
 class OptionalAuthMiddleware:
    """
    Если REQUIRE_LOGIN=False и пользователь не аутентифицирован,
    подставить первого активного суперпользователя (для отладки).
    """
    def __init__(self, get_response):
        self.get_response = get_response
    def __call__(self, request):
        if not getattr(settings, "REQUIRE_LOGIN", True) and not request.user.is_authenticated:
            user = get_dev_user()
            if user:
                request.user = user
        return self.get_response(request)
--- a/app/config/mixins.py
+++ b/app/config/mixins.py
@@ -0,0 +1,19 @@
 """
 Миксины для представлений.
 LoginRequiredMixin при REQUIRE_LOGIN=False не требует входа (для отладки/разработки).
 """
 from django.contrib.auth.mixins import LoginRequiredMixin as BaseLoginRequiredMixin
 from django.conf import settings
 class LoginRequiredMixin(BaseLoginRequiredMixin):
    """
    Требует вход только если в настройках включено REQUIRE_LOGIN.
    При REQUIRE_LOGIN=False доступ без авторизации (для отладки).
    Чтобы вернуть авторизацию: REQUIRE_LOGIN=true в .env или в settings.
    """
    def dispatch(self, request, *args, **kwargs):
        if getattr(settings, "REQUIRE_LOGIN", True):
            return super().dispatch(request, *args, **kwargs)
        return super(BaseLoginRequiredMixin, self).dispatch(request, *args, **kwargs)
--- a/app/config/settings.py
+++ b/app/config/settings.py
@@ -38,6 +38,7 @@ MIDDLEWARE = [
    "django.middleware.common.CommonMiddleware",
    "django.middleware.csrf.CsrfViewMiddleware",
    "django.contrib.auth.middleware.AuthenticationMiddleware",
    "config.middleware.OptionalAuthMiddleware",
    "django.contrib.messages.middleware.MessageMiddleware",
    "django.middleware.clickjacking.XFrameOptionsMiddleware",
    "django.middleware.locale.LocaleMiddleware",
@@ -95,6 +96,10 @@ LOGIN_URL = "users:login"
 LOGIN_REDIRECT_URL = "users:home"
 LOGOUT_REDIRECT_URL = "users:login"
 # Отладка/разработка: REQUIRE_LOGIN=false — доступ без входа (мидлварь подставит суперпользователя).
 # Чтобы вернуть авторизацию: REQUIRE_LOGIN=true в .env.
 REQUIRE_LOGIN = os.environ.get("REQUIRE_LOGIN", "false").lower() in ("1", "true", "yes")
 # Логирование
 LOGGING = {
    "version": 1,
--- a/app/documents/views.py
+++ b/app/documents/views.py
@@ -1,7 +1,7 @@
 """Представления документов: списки и формы создания/редактирования."""
 import logging
 from django.views.generic import ListView, CreateView, UpdateView, DeleteView, DetailView
-from django.contrib.auth.mixins import LoginRequiredMixin
+from config.mixins import LoginRequiredMixin
 from django.urls import reverse_lazy
 from django.shortcuts import redirect, get_object_or_404
 from django.contrib import messages
--- a/app/references/views.py
+++ b/app/references/views.py
@@ -3,7 +3,7 @@ CRUD для справочников (списки и формы).
 """
 import logging
 from django.views.generic import ListView, CreateView, UpdateView, DeleteView
-from django.contrib.auth.mixins import LoginRequiredMixin
+from config.mixins import LoginRequiredMixin
 from django.urls import reverse_lazy
 from django.contrib import messages
 from django.utils.translation import gettext_lazy as _
--- a/app/users/views.py
+++ b/app/users/views.py
@@ -4,7 +4,7 @@
 import logging
 from django.contrib.auth.views import LoginView, LogoutView
 from django.views.generic import TemplateView
-from django.contrib.auth.mixins import LoginRequiredMixin
+from config.mixins import LoginRequiredMixin
 logger = logging.getLogger(__name__)